Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL VADEMECUM

SMS marketing e GDPR: regole e consigli pratici per il corretto trattamento dei dati personali

L’SMS marketing è una delle strategie di advertising preferita dalle aziende anche per via della sua semplicità di gestione: con l’entrata in vigore del GDPR, però, è ora richiesta molta attenzione per il corretto trattamento dati dei clienti. Ecco le regole di accountability per la compliance normativa

20 Dic 2019
Z
Paola Zanellati

Consulente Privacy


L’SMS marketing è sicuramente una delle strategie di advertising più apprezzato dalle aziende: è veloce, economica e non richiede connessione a Internet per il raggiungimento dei clienti. Allo stesso tempo, però, richiede molta attenzione per il corretto trattamento dei dati personali e, di conseguenza, per la compliance alla normativa in materia.

SMS marketing e GDPR: lo scenario

Il GDPR, lo ricordiamo, stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati (art.1).

L’approccio giuridico, sociale, economico e tecnologico al tema sempre attuale della protezione dei dati nella società tecnologica si sta connotando con sempre più consapevolezza in ogni individuo.

Ma perché tanta attenzione a questo particolare segmento di mercato rappresentato dall’SMS marketing?

La spiegazione più pratica arriva dai numeri: soltanto nel 2017, la quota di fatturato del mercato dell’SMS marketing ha superato i 200 milioni di dollari americani, e si stima possa crescere fino a 500 milioni nel 2025, con un tasso di CAGR (tasso annuo di crescita) di un paio di punti percentuali nel periodo tra il 2018 e il 2025.

Questi incrementi sono motivati dalle caratteristiche stesse di questo strumento, che vanta alcuni dati decisamente interessanti per chi fa strategie di marketing: secondo gli analisti, il 90 per cento dei messaggi di testo viene letto nei primi 3 minuti successivi alla ricezione, mentre il tasso di apertura globale è del 98 per cento e sono dieci volte più veloci delle telefonate vocali. In aggiunta a questo, il servizio di SMS è veloce, non richiede connessione alla rete Web ed è generalmente più economico rispetto ad altre forme di advertising.

Dall’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR), il marketing via SMS è stato messo al microscopio. Le aziende potrebbero scoprire che ora è molto più complicato inviare messaggi di testo senza il consenso dei loro clienti. Ma è davvero più un’opportunità d’oro per gli esperti di marketing che una minaccia.

La mancanza di una “cultura giuridica” in materia di protezione dei dati personali ha fatto sì che sempre più aziende presentassero maggiori inclinazioni ad investire sull’aspetto comunicativo delle campagne e iniziative pubblicitarie, piuttosto che curare sin dall’origine la progettazione delle stesse con riferimento al trattamento dati (accountability) ad esse relativo per assicurarne la conformità alle disposizioni vigenti in materia di protezione dati personali.

Tale politica ha creato i presupposti per una intensa attività ispettiva realizzata dal Garante per la protezione dei dati personali, condotta anche per mezzo del Nucleo speciale Privacy della Guardia di finanza, che ha portato alla luce una lunga serie di violazioni realizzate dalle più influenti imprese operanti sul mercato italiano.

Ricordiamo la sanzione di 800.000 euro irrogata ad una società di telecomunicazione per aver posto in essere trattamenti di dati personali finalizzati all’invio di SMS promozionali ad un rilevante numero (oltre 38 milioni) di utenti di telefonia mobile, in assenza, da un lato, del prescritto consenso degli interessati e dall’altro, ricorrendo a modalità contrarie al principio di correttezza del trattamento, per aver posto in essere una politica dove l’esercizio del diritto di revoca del consenso da parte dell’interessato avesse efficacia solo temporanea.

Considerato quanto sopra, non stupisce affatto che l’ultimo inciso del Considerando 47 del Regolamento, nel quale si legge che: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto” sia stata accolta da molte aziende come la chiave di volta per giustificare la realizzazione di campagne di marketing anche in mancanza di un consenso espresso dall’interessato.

È bene pertanto fare chiarezza su alcuni punti.

Marketing diretto: la giusta base giuridica

La diffusione di nuovi canali di promozione commerciale e l’importanza del marketing diretto per la crescita e lo sviluppo di una realtà imprenditoriali assumono un ruolo centrale sia nel GDPR, che nella normativa italiana di attuazione.

La tutela della privacy e le strategie di marketing non sono tra loro antagonisti, ma rappresentano due facce della stessa medaglia: un messaggio pubblicitario inviato nel rispetto dei principi generali in materia di trattamento dati risulta sicuramente più efficace e permette al Titolare di progettare le proprie strategie di marketing secondo le modalità dallo stesso ritenute più efficaci, evitando quindi di incorrere in sanzioni.

L’art 130 del Codice della Privacy, ai co. 1 e 2 sancisce che “1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5”.

webinar, 21 aprile
Smartworking e Security: come fronteggiare gli attacchi che sfruttano l’emergenza da Coronavirus?
Sicurezza

“2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo MMS (Multimedia Messaging Service) o SMS (Short Message Service) o di altro tipo”.

Tale articolo mette nero su bianco che la base giuridica che legittima il Titolare all’invio di comunicazioni pubblicitarie è il consenso liberamente espresso dall’interessato.

Consenso che, per essere valido, deve presentare caratteristiche ben precise, essendo espressione di una “volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4 n. 11 GDPR).

Questo implica che quando più trattamenti realizzati dal Titolare siano basati sul consenso dell’interessato, il Titolare dovrà preoccuparsi di richiedere una manifestazione di consenso specifica per ognuno di essi, che dovrà concretizzarsi in una azione positiva e dimostrabile.

Ai sensi del citato art. 130 del Codice Privacy non è pertanto lecito limitarsi ad informare l’interessato ad ogni comunicazione promozionale della semplice facoltà di opporsi al trattamento, in quanto il consenso preventivo è richiesto anche quando i dati personali dell’interessato siano stati raccolti da registri pubblici, albi, elenchi, siti web o documenti conosciuti o conoscibili a chiunque.

Infatti, come più volte il Garante ha avuto occasione di precisare, (Provv. 21 settembre 2017 – doc. web n. 7221917 e Provv. 24 maggio 2017, n. 248, doc. web n. 6502780) “il requisito del consenso (informato e documentato per iscritto, oltre che libero e specifico) sussiste anche quando i dati personali provengano da internet, in quanto l’agevole reperibilità di tali dati non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione”.

SMS marketing e GDPR: strategie compliance

La modifica della strategia di SMS marketing per soddisfare nuove procedure e normative può aiutarti a ridefinire il tuo pubblico e comunicare con le persone che desiderano interagire con la tua attività.

Un paio di anni fa, l’SMS marketing era più un canale di marketing dirompente, ma oggi i clienti si affidano all’SMS come canale di comunicazione preferito.

Che si tratti di aggiornamenti di consegna, conferme di prenotazione o vendite flash, SMS offre ai clienti un canale di comunicazione rapido e diretto.

Quando scegli di comunicare con i clienti sempre online, dovrai essere onesto con loro. Se dici loro per cosa stai usando i loro dati personali e per quanto tempo, i tuoi clienti avranno la possibilità di rinunciare alle conversazioni a cui non sono interessati.

Ecco dunque alcuni modi per garantire che la strategia di SMS marketing aggiornata sia conforme al GDPR e in linea con le ultime richieste di dati.

  1. Offri esplicite opzioni di opt-in e opt-out per i tuoi clienti. Le agenzie di marketing devono rendersi conto che dare ai tuoi clienti il potere non è necessariamente una mossa sbagliata. Se i prodotti o i servizi della tua azienda aggiungono valore alla vita dei tuoi clienti, vedrai un livello di coinvolgimento più elevato da parte di persone che sono fedeli al tuo marchio. Come controvalore all’essere onesto con i tuoi clienti, devi offrire loro la scelta di ricevere o meno i tuoi messaggi. Nel futuro, avere un approccio chiaro e aperto all’SMS marketing ti permetterà di segmentare un database sicuro di persone che sanno esattamente come stai trattando i loro dati personali e acconsentono a utilizzarli per tali motivi.
  2. Assicurati che i tuoi clienti abbiano specificato le loro opzioni di contatto. Dovrai specificare il tipo di opt-in che i tuoi clienti hanno scelto sul tuo sito web. Ad esempio, rendi chiaro e visibile che i tuoi clienti devono scegliere se vogliono essere contattati via SMS, e-mail o posta, quindi comunicare con loro tramite il canale che preferiscono. Dovrai anche semplificare il ritiro dei loro dettagli se lo desiderano. Se insistono nel voler eliminare i loro dettagli dal database, dovrebbe esserci un’opzione chiara nei messaggi SMS o nel sito Web per farlo. Anche se alcune informazioni non sono di per sé “personali”, ad esempio il tuo animale preferito, devi disporre di una pagina di termini e condizioni chiara che indichi il ragionamento alla base della necessità di tali informazioni. L’uso del canale di contatto corretto ti garantirà inoltre di massimizzare il ritorno e l’efficacia della tua campagna di marketing. Quando i tuoi clienti hanno la possibilità di identificare il loro metodo di comunicazione preferito, avrai probabilmente molto più successo. Ad esempio, se il cliente ha indicato che preferisce ricevere comunicazioni via SMS, avrai un tasso di risposta molto più elevato per comunicare via SMS rispetto a quando invii loro una e-mail con nuove funzionalità del prodotto. In termini di GDPR, le linee guida non sono esplicite sul canale utilizzato per comunicare. Questo ti lascia con la possibilità di identificare la strategia migliore e ottimizzare davvero il canale di comunicazione. Spesso la soluzione migliore è quella di avere una capacità multicanale per assicurarti di soddisfare le diverse esigenze di comunicazione del tuo cliente.
  3. Gestire i dati personali in modo professionale. Inoltre, il tuo sistema di gestione della rinuncia deve essere più efficiente che mai perché non puoi lasciare un cliente al buio. Se qualcuno ti chiedesse di eliminare immediatamente le sue informazioni, dovresti essere in grado di farlo. E, in tale nota, assicurati di disporre di un sistema di sicurezza dei dati in cui sai che la tua azienda ha adottato le procedure corrette per proteggere legalmente i dati dei tuoi clienti. Sul mercato esistono moltissime piattaforme SMS che possono aiutarti a offrire ai tuoi clienti una soluzione di coinvolgimento personalizzata in tempo reale consentendo a qualsiasi app, desktop o piattaforma web di essere integrata con i tuoi sistemi CRM esistenti e persino integrata nel tuo sito web.

SMS marketing e GDPR: il consenso

Ogni azienda deve saper dimostrare che ha ottenuto un consenso esplicito sistematico dalle persone di cui possiede i dati. Se cambia la modalità d’uso dei dati dei clienti, bisognerà chiedere di nuovo il consenso.

Per l’invio di SMS è perciò essenziale che le tue liste di contatti siano opt-in, solo così i tuoi invii siano perfettamente legali.

SMS marketing e GDPR: gestione dei dati

Non è ammesso conservare i dati in modo casuale. Ogni dato deve avere una durata massima di conservazione conosciuta dai clienti, passata la quale il dato dev’essere cancellato. Inoltre, il dato dev’essere cancellato automaticamente se il cliente lo richiede.

Se un cliente si cancella dai tuoi invii di SMS, il suo numero di telefono dovrà cancellarsi automaticamente dalle tue liste contatti.

SMS marketing e GDPR: corresponsabilità

L’obbligo di mantenere in sicurezza i dati grava sia sul responsabile del trattamento che sui suoi subcontraenti. In effetti operatori e subcontraenti possono ritenersi responsabili allo stesso titolo della loro azienda partner.

Per questo coi nostri fornitori e operatori abbiamo preso degli accordi che garantiscono la sicurezza dei tuoi dati durante l’invio degli SMS.

Opt-in esplicito

Se stai incoraggiando i clienti a registrarsi per l’SMS Marketing come parte di una registrazione generale, è assolutamente essenziale che per questo canale sia attivo un opt-in vuoto o impostato su “no”. Sebbene questa sia la migliore pratica da qualche tempo, molti siti Web hanno continuato a utilizzare una casella preselezionata su tali moduli che iscrivono il cliente per il marketing e altre comunicazioni a meno che non scelgano di rinunciare.

Sia che tu stia pianificando di utilizzare un modulo nuovo o esistente per convincere i clienti a iscriversi a SMS marketing, assicurati che sia completamente conforme.

Opt-in specifici per l’SMS marketing

Se il modulo di registrazione sul tuo sito Web offre ai clienti la possibilità di opt-in per una serie di canali di marketing come e-mail, posta e SMS – in genere denominato opt-in “in bundle”, ora è assolutamente essenziale stabilire il consenso individualmente per ciascun canale: questo si traduce in una casella separata (non selezionata) per ciascuno e non in un opt-in generico tutto in uno, come spesso usato in passato. Se non si dispone di una casella di controllo per SMS Marketing, ora è il momento di assicurarsi che ne sia aggiunto uno.

Sebbene il requisito per un opt-in specifico per il marketing via SMS esistesse già tecnicamente, la posizione è molto più fortemente applicata ai sensi del GDPR, così come la necessità di conservare un record chiaro dell’autorizzazione concessa per questo canale.

Revoca dell’autorizzazione/rinuncia all’SMS marketing

Ancora una volta, ai sensi della legislazione esistente prima del GDPR era già un requisito fornire ai clienti l’opportunità di rinunciare a ricevere future comunicazioni di marketing via SMS. Ciò è ulteriormente migliorato dalle nuove regole del GDPR. Esiste ora un chiaro requisito per rendere più facile la rimozione del consenso per i clienti come lo era per loro, e devono sempre essere consapevoli del fatto che hanno il diritto di rimuovere il consenso – in un linguaggio chiaro e semplice che è facile da capire.

Per SMS Marketing, ciò significa includere un’opzione di opt-out in ogni messaggio, cosa che già avrebbero dovuto utilizzare SMS marketing. È inoltre essenziale garantire che l’opzione di rinuncia alle comunicazioni di marketing via SMS sia disponibile altrove, ad esempio tramite un collegamento ovvio e dedicato sul proprio sito Web. Infine, i termini e le condizioni dovrebbero anche chiarire come rinunciare in modo specifico alle comunicazioni via SMS, così come ad altri canali.

Parti nominate

L’autorizzazione per l’SMS marketing è esplicitamente limitata alle comunicazioni da parti pre-approvate che sono pertinenti e relative al prodotto o servizio originale a cui era correlata l’opt-in.

Le leggi in vigore prima del GDPR hanno anche chiarito che i dettagli del cliente potevano essere utilizzati solo dalla parte a cui era stata concessa l’autorizzazione. Ai sensi del GDPR, questo rimane relativamente invariato, tuttavia, vi è una maggiore attenzione nel garantire che la parte a cui viene dato il consenso sia chiaramente identificata al momento dell’iscrizione

Gestione dei dati personali

Indipendentemente da come raccogli i dati personali per la tua lista di marketing via SMS, sia attraverso il tuo sito web, moduli di iscrizione scritti a mano o messaggistica diretta via SMS, il GDPR impone regole rigide su come gestirli.

Le considerazioni chiave includono:

  1. assicurati che la tua organizzazione abbia una buona formazione e procedure sul trattamento dei dati personali e dell’autorizzazione per utilizzarli.
  2. verifica se è ora necessario ottenere o aggiornare il consenso per i dati in tuo possesso: nel caso degli elenchi di SMS marketing, potrebbe essere necessario chiedere ai clienti di aggiornare la propria autorizzazione.
  3. accertarsi che esista una politica definita sul tempo di conservazione dei dati personali, per assicurarsi che non vengano conservati inutilmente e assicurarsi che siano aggiornati. È inoltre necessario disporre di un sistema efficace per la gestione degli opt-out per garantire che le richieste degli utenti siano rispettati.
  4. garantire che i dati vengano conservati in modo sicuro, considerando sia la tecnologia sia i fattori umani nella sicurezza dei dati.
  5. stabilire se si è un responsabile del trattamento dei dati, un responsabile del trattamento dei dati o entrambi e se l’organizzazione dispone delle disposizioni legali corrette.

Conclusioni

Sebbene sia facile sentirsi scoraggiati dalla nuova legislazione GDPR, è importante ricordare che, in linea di massima, quelle aziende che hanno già seguito le migliori pratiche nelle loro attività di marketing e protezione dei dati troveranno che la maggior parte dei requisiti è già soddisfatta.

Sul mercato esistono moltissime piattaforme che permettono l’invio di SMS con database costantemente aggiornati assicurando la pulizia delle liste e l’utilizzo dei dati nel pieno rispetto della normativa privacy: Active Compaign, Skebby, MailUp, MailChaimp, BeSMS.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

Il consiglio è di affidarvi esclusivamente ad aziende che siano in grado di offrire diligenza, professionalità e compliance in modo da non incorrere in sanzioni elevatissime e che mettono a rischio la web reputation della vostra azienda.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4